Le département américain de la Santé et des Services sociaux (HHS) a mis en garde contre les attaques de rançongiciels Royal en cours ciblant des entités de santé dans le pays.
« Alors que la plupart des opérateurs de ransomwares connus ont utilisé Ransomware-as-a-Service, Royal semble être un groupe privé sans aucun affilié tout en maintenant la motivation financière comme objectif », a déclaré le Centre de coordination de la cybersécurité du secteur de la santé (HC3) de l’agence [PDF ].
« Le groupe prétend voler des données pour des attaques de double extorsion, où il exfiltrera également des données sensibles. »
Royal ransomware, selon Fortinet FortiGuard Labs, serait actif depuis au moins le début de 2022. Le malware est un exécutable Windows 64 bits écrit en C++ et est lancé via la ligne de commande, indiquant qu’il implique un opérateur humain pour déclencher l’infection après avoir obtenu l’accès à un environnement ciblé.
Outre la suppression des clichés instantanés de volume sur le système, Royal utilise la bibliothèque cryptographique OpenSSL pour chiffrer les fichiers selon la norme AES et les ajoute avec une extension « .royal ».
Le mois dernier, Microsoft a révélé qu’un groupe qu’il suit sous le nom de DEV-0569 a été observé en train de déployer la famille des rançongiciels par diverses méthodes.
Cela inclut les liens malveillants fournis aux victimes au moyen de publicités malveillantes, de fausses pages de forum, de commentaires de blog ou via des e-mails de phishing qui conduisent à des fichiers d’installation malveillants pour des applications légitimes telles que Microsoft Teams ou Zoom.
Les fichiers sont connus pour héberger un téléchargeur de logiciels malveillants appelé BATLOADER, qui est ensuite utilisé pour fournir une grande variété de charges utiles telles que Gozi, Vidar, BumbleBee, en plus d’abuser d’authentiques outils de gestion à distance comme Syncro pour déployer Cobalt Strike pour un déploiement ultérieur de ransomware.
Le gang des rançongiciels, malgré son émergence cette année seulement, est censé être composé d’acteurs expérimentés d’autres opérations, ce qui indique la nature en constante évolution du paysage des menaces.
« À l’origine, l’opération de ransomware utilisait le chiffreur de BlackCat, mais a finalement commencé à utiliser Zeon, qui a généré une note de ransomware qui a été identifiée comme étant similaire à celle de Conti », a déclaré le HHS. « Cette note a ensuite été changée en Royal en septembre 2022. »
L’agence a en outre noté que les attaques de Royal ransomware contre les soins de santé se sont principalement concentrées sur des organisations aux États-Unis, avec des demandes de paiement allant de 250 000 $ à 2 millions de dollars.